Aufruf von api.telegram.org durch eine Website?
Moin,
zusätzlich zu den üblichen Features und Listen in unserer Firewall sammle ich noch regelmäßig die Logs ein und prüfe diese gegen bekannte IOCs.
Dabei ist mir neuerdings in API-Aufruf zu Telegram aufgefallen. Genauer gesagt folgender API-Aufruf:
api.telegram.org/bot1234567890:ABCDEFGHIJabcdefghij/sendMessage (den Bot-Namen und API-Key habe ich maskiert).
Es gab auch nur einen einzigen Log-Eintrag. Der restliche Verlauf zum Client in der Firewall ist in Ordnung. Keine Auffälligkeiten. Auch der Client selbst ist unauffällig.
Gestern gab es noch einmal denselben Aufruf, aber von einem anderen User in einem anderen Teil der Organisationsstruktur.
Ich habe daraufhin mal die zuvor aufgerufenen URLs verglichen. Dabei sind mir zwei Stück aufgefallen, die verdammt ähnlich sind:
w*w.searchfury.com/de/20230507?slug=die-5-besten-su-vs-auf-dem-markt&utm_source=7**5&utm_source=taboola&utm_medium=referral&...
sowie
api.taboola.com/2.0/json/msn-windows-germany/recommendations.notify-click?app.type=bidder&app.apikey=...
Es sieht also sehr danach aus, als würde der Aufruf tatsächlich irgendwo über eine Seite oder dessen ganzes Ad-Gedöns erfolgen.
Haltet ihr es für möglich, dass tatsächlich einer dieser halbseriösen Werbeseitenbetreiber in irgendeiner Verlinkung tatsächlich die Telegram-API mit API-Key im html-code aufruft?
Der API-Aufruf ist mehr als dubios, aber alle Recherchen deuten darauf hin, dass es von einer Website kommt. Da diese natürlich hochgradig dynamisch sind, lässt sich sowas ja leider auch nicht ohne weiteres reproduzieren.
zusätzlich zu den üblichen Features und Listen in unserer Firewall sammle ich noch regelmäßig die Logs ein und prüfe diese gegen bekannte IOCs.
Dabei ist mir neuerdings in API-Aufruf zu Telegram aufgefallen. Genauer gesagt folgender API-Aufruf:
api.telegram.org/bot1234567890:ABCDEFGHIJabcdefghij/sendMessage (den Bot-Namen und API-Key habe ich maskiert).
Es gab auch nur einen einzigen Log-Eintrag. Der restliche Verlauf zum Client in der Firewall ist in Ordnung. Keine Auffälligkeiten. Auch der Client selbst ist unauffällig.
Gestern gab es noch einmal denselben Aufruf, aber von einem anderen User in einem anderen Teil der Organisationsstruktur.
Ich habe daraufhin mal die zuvor aufgerufenen URLs verglichen. Dabei sind mir zwei Stück aufgefallen, die verdammt ähnlich sind:
w*w.searchfury.com/de/20230507?slug=die-5-besten-su-vs-auf-dem-markt&utm_source=7**5&utm_source=taboola&utm_medium=referral&...
sowie
api.taboola.com/2.0/json/msn-windows-germany/recommendations.notify-click?app.type=bidder&app.apikey=...
Es sieht also sehr danach aus, als würde der Aufruf tatsächlich irgendwo über eine Seite oder dessen ganzes Ad-Gedöns erfolgen.
Haltet ihr es für möglich, dass tatsächlich einer dieser halbseriösen Werbeseitenbetreiber in irgendeiner Verlinkung tatsächlich die Telegram-API mit API-Key im html-code aufruft?
Der API-Aufruf ist mehr als dubios, aber alle Recherchen deuten darauf hin, dass es von einer Website kommt. Da diese natürlich hochgradig dynamisch sind, lässt sich sowas ja leider auch nicht ohne weiteres reproduzieren.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7684661712
Url: https://administrator.de/forum/aufruf-von-api-telegram-org-durch-eine-website-7684661712.html
Ausgedruckt am: 21.12.2024 um 17:12 Uhr
1 Kommentar